Exploity NSA + podatności na Struts i Dotnetnuke użyte w nowej kampanii kopiącej kryptowalutę

F5 donosi o nowej, dość zaawansowanej kampanii o kryptonimie  Zealot.  Tym razem celem są zarówno hosty Windowsowe jak i Linuksowe, potrafi się też rozpowszechniać wewnątrz sieci.

Warto zaznaczyć że wykorzystane są względnie świeże exploity (z tego roku) – zdalne wykonanie kodu w bibliotece Struts2 – tutaj wystarczy przesłać odpowiednio spreparowany nagłówek Content-Type – aby uzyskać wykonanie kodu na serwerze. Przypominamy przy okazji, że inny błąd w Struts2 został wykorzystany do słynnego już ataku na Equifax, we wrześniu tego roku.

Drugi exploit jest dość unikalny – czyli wykorzystanie dość nowej, krytycznej podatności w Dotnetnuke (Possible remote code execution on DNN sites). O tej ostatniej pisaliśmy zresztą niedawno – przy okazji tematów związanych z niebezpieczną deserializacją w .NET. W tym przypadku wystarczy przesłać odpowiednio złośliwie ciasteczko.

Po zaisntalowaniu się na podatnym serwerze, uruchamiana jest dodatkowa faza infekcji hostów w sieci wewnętrznej – tutaj namierzane są już tylko Windowsy – z wykorzystaniem dwóch exploitów od NSA: EternalBlue (ten sam który był m.in. użyty w kampani ~Petya) / EternalSynergy.

Na koniec – co jest efektem infekcji ? „Na szczęście” nie ma tutaj prośby o okup – jest za to kopanie krytpowaluty Monero.

Jak się zabezpieczyć? Podsumujmy:

1. Zaktualizujcie bibliotekę Struts2 jeśli jakieś Wasze aplikacje jej używają (czasem nawet o tym nie wiecie ;)
2. Zaktualizujcie Dotnetnuke.
3. Zaktualizujcie Windowsy.

–ms